Open for Support - Informatiebrochure
èè
Versie 1.0 • Augustus 2009
© Open for Support bv
è
internet awareness
O p e n
f o r
S u p p o r t
Deze brochure is samengesteld door Michel van den Biggelaar voor Open for Support bv, gevestigd te Maastricht-Airport. Deze brochure is tot stand gekomen uit onderzoek gebruikmakend van diverse online en offline informatiebronnen. Zoveel mogelijk -naar onze mening- interessante informatie is voor u gebundeld in deze ‘O4S Informatiebrochure’. Alles uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotocopie, internet, e-mail of op welke wijze dan ook. Als u ons vooraf
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
maar even op de hoogte stelt.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 1
© Open for Support bv
Î
O4S Informatiebrochure Internet Awareness
Inleiding 1.
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
2.
......................................................................................
3
Informatiebeveiliging .....................................................................
4
1.1.
Computercriminaliteit ................................................................
4
1.2.
Schade .....................................................................................
5
Verschijningsvormen ..........................................................................
7
2.1.
Defacing ...................................................................................
8
2.2.
Denial of Service (DoS) ............................................................
9
2.3.
Hacking ....................................................................................
10
2.4.
Open Relay ...............................................................................
11
2.5.
Password Guessing ...................................................................
12
2.6.
Phishing ...................................................................................
13
2.7.
Port Scan .................................................................................
14
2.8.
Sniffing ....................................................................................
15
2.9.
Social Engineering ....................................................................
16
2.10. Social Networksites (misbruik van) ............................................
17
2.11. Spam ......................................................................................
18
2.12. Spoofing ...................................................................................
19
2.13. Trojaans Paard .........................................................................
20
2.14. Virussen (& Wormen) ................................................................
22
2.15. WiFi (misbruik van) ...................................................................
23
2.16. XXS (Cross-Site Scripting) ........................................................
24
3.
Organisatorische aandachtspunten ...............................................
25
4.
Technische aandachtspunten ........................................................
27
5.
Conclusie
29
......................................................................................
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 2
© Open for Support bv
Î
Inhoudsopgave
De oorsprong van het internet is terug te voeren tot een in 1969 door een Amerikaans defensie-onderdeel gestart netwerk. Inmiddels is het internet een mondiaal fenomeen, dat het karakter van massamedium heeft gekregen en waarschijnlijk tot nu toe het meest gebruikte communicatiemiddel is ooit. Naast de positieve aspecten hebben zich, gedurende de opmars van het internet, ook vele negatieve aspecten gemanifesteerd. Nagenoeg parallel aan deze opmars, heeft ook de computercriminaliteit c.q. ‘Cyber Crime’ zijn opmars gemaakt. Cyber Crime is een zeer ruim begrip en voor veel mensen een onduidelijk en vaag fenomeen. Duidelijk is wel dat -primairhet bedrijfsleven grote hinder kan ondervinden van de gevolgen van Cyber Crime en de risico’s voor het bedrijfsleven, vooral gezien de huidige afhankelijkheid van ICT-omgevingen, bijzonder groot zijn. Dermate groot dat elke organisatie verplicht is preventieve maatregelen te nemen.
“Collega, je bent toch wel erg veel online!”
“wat.nl een.nl onzin.nl”
In deze O4S Informatiebrochure wordt primair de link gelegd tussen Cyber Crime, de invloed van de mens c.q. de interne medewerker en het bedrijfsproces ‘informatiebeveiliging’. Deze brochure richt zich primair op management- en directieleden. Het is de intentie om deze groep inzicht te geven in de diverse vormen van Cyber Crime en met name de organisatorische maatregelen -en in beperkte mate de technische maatregelen- die genomen kunnen worden om Cyber Crime te voorkomen. Deze kennis kan vervolgens worden gebruikt om in het kader van informatiebeveiliging in de
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
organisatie ‘Internet Awareness’ te creëeren. Deze ‘Awareness’ -zich bewust zijn van- is het belangrijkste strijdmiddel tegen de meeste vormen van Cyber Crime zoals vermeld in deze brochure. Michel van den Biggelaar Open for Support bv
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 3
© Open for Support bv
Î
inleiding
informatiebeveiliging
Elke organisatie beschikt over informatie. Het is vaak deze informatie waar de organisatie haar bestaansrecht aan ontleent. Informatie opgeslagen in bestanden op servers, informatie in databases, in inkomende en uitgaande e-mail berichten. Informatie die liever niet in de verkeerde handen mag komen en die niet kwijt mag raken. Informatie die beveiligd moet worden: Informatiebeveiliging. informatiebeveiliging het waarborgen van de exclusiviteit, de integriteit (juistheid) en de beschikbaarheid (continuïteit) van informatie. Bovenstaand de definitie van informatiebeveiliging zoals deze in de Van Dale zou kunnen staan (maar nog niet is opgenomen als officieel woord). Elke organisatie moet maatregelen treffen om haar informatie te beveiligen. Het niet treffen van enige beveiligingsmaatregelen zal onheroepelijk leiden tot schade. Het e-mailverkeer zal stoppen als gevolg van bijvoorbeeld virussen. Het algemene netwerkverkeer zal vertragen of helemaal stoppen. De website zal plotsklaps heel andere informatie bevatten (of helemaal verdwijnen). Medewerkers beschikken over gevoelige informatie inzake de organisatie en/of collegea. Concurrenten beschikken al snel over deze zelfde informatie. De organisatie wordt al snel in een kwaad daglicht gesteld, doordat belangrijke informatie is uitgelekt. Het is duidelijk, informatiebeveiliging is een primaire levensbehoefte voor elke organisatie. Een 100%-veilige organisatie aan de andere zijde, is echter ook een utopie-gedachte. Er zal een veilige balans moeten worden gevonden tussen deze twee uitersten. Met alle technische en organisatorische maatregelen die getroffen kunnen worden, blijft er één (bijzonder) zwakke schakel over: de mens (c.q. uw medewerkers).
1.1.
Computercriminaliteit
Met de opkomst van de Informatie Technologie in het algemeen en internet in het bijzonder, krijgt het bedrijfsleven ook steeds meer te maken met computercriminaliteit. Onder computercriminaliteit wordt verstaan ‘misdrijven die met een computer worden gepleegd’. Hierbij doelt men echter niet op het ‘neerslaan van iemand met een notebook’. Bij computercriminaliteit speelt het gebruik van ICT-middelen een belangrijke rol. Een synoniem voor Computercriminaliteit is ‘Cyber Crime’. Cyber Crime is allang niet meer de hobby van bebrilde pubers die zwaar beveiligde systemen van defensie of banken willen
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
binnendringen, puur voor de sport. Cyber Crime wordt steeds vaker gepleegd door georganiseerde misdaad, uit binnen- en buitenland, en in steeds meer situaties door interne (teleurgestelde) medewerkers en door externe (gefrusteerde) concurrenten. Sinds 1 september 2006 is in Nederland een nieuwe Wet Computercriminaliteit in werking getreden en is deze aanzienlijk aangescherpt ten opzichte van de eerste versie uit 1993. Zo zijn de meeste ‘technieken’ omschreven in deze informatiebrochure strafbaar, waardoor het Openbaar Ministerie ingeschakeld kan worden om te komen tot strafrechtelijke vervolging.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 4
© Open for Support bv
Î
1.
© Open for Support bv
Schade
De schade die het bedrijfsleven oploopt door Cyber Crime is aanzienlijk. De hoogte van de totale schade in Nederland is moeilijk -niet- te bepalen omdat de meeste organisaties uit angst voor negatieve publiciteit en gezichtsverlies geen aangifte doen. Echter kunt u voor uw eigen organisatie wel bepalen wat de schade zou zijn, als de diverse in deze brochure omschreven technieken uw organisatie zouden treffen. Wat zou voor uw organisatie de schade zijn indien: •
Uw e-mailverkeer voor enkele dagen wordt lam gelegd en gebruikmakend van uw eigen domeinnaam geen berichten meer kunnen worden verstuurd en ook niet kunnen worden ontvangen;
•
Uw centrale server(s) dermate langzaam zijn, dat uw gebruikers niet meer kunnen
•
Er plotsklaps foto’s opduiken op internet van een belangrijke medewerker, waarbij de
inloggen en niet meer aan gegevensbestanden komen om verder te kunnen werken; betreffende beelden bijzonder aanstootgevend zijn voor een groot deel van de mensheid (en van uw opdrachtgevers); •
Een voormalig medewerker zijn wachtwoord verkoopt die toegang geeft tot de Web Mail van diverse collega’s, waardoor een concurrent gedurende langere termijn al uw stappen kan volgen (en voor kan zijn);
•
Het e-mailadres van een belangrijke medewerker wordt gebruikt door een ‘onbekende’
•
Uw draadloos netwerk wordt ‘gekraakt’ en belangrijke projectdocumenten worden
en diverse voor uw organisatie cruciale opdrachtgevers negatief gaat benaderen; gekopieerd die u vervolgens te koop worden aangeboden. Indien u ze niet koopt, zal de concurrent ze heel graag afnemen van de betreffende ‘zakenlieden’. Indien het antwoord op al deze punten Euro 0,00 bedraagt kunt u stoppen met het lezen van deze brochure en verzoeken wij u per omgaande contact op te nemen om uw bedrijfsmodel te
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
verklaren.
“het net werk is weer eens niet beschikbaar...”
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 5
Î 1.2.
Deze situaties komen in zeer sterk stijgende aantallen voor en brengen steeds meer organisaties in de problemen of -in ieder geval- negatief in het nieuws. Het niet of te weinig aandacht spenderen aan Informatiebeveiliging kan bijzonder schadelijke gevolgen hebben. Een zéér belangrijke stap bij Informatiebeveiliging is het creëeren van bewustzijn (‘Awareness’). Bij u en uw medewerkers. Bewust zijn van de gevaren en bewust zijn van de gevolgen. Hoewel deze eerste stap u en uw collega’s tijd zal kosten, zijn er geen verdere kosten aan verbonden. Dit zou -los van u nerveus te hebben gemaakt- voor voldoende motivatie moeten
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
zorgdragen.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 6
© Open for Support bv
Î
Overdreven situaties? Niets is minder waar. Elk vermeld voorbeeld is uit de praktijk gegrepen.
verschijningsvormen
Cyber Crime is voor veel internetgebruikers een ruim begrip en een vaag fenomeen. Om Internet Awareness te creëeren zullen wij in dit hoofdstuk de meest voorkomende vormen van Cyber Crime omschrijven en toelichten. Per verschijningsvorm is aangegeven hoe de betreffende vorm van Cyber Crime zich manifesteert en hoe deze kan worden herkend. Hierbij wordt zo min mogelijk de technische kant belicht, maar wordt kort en duidelijk aangegeven wat de gevaren zijn. Tevens is zoveel mogelijk per vorm aangegeven wat de specifieke beveiligsmaatregelen kunnen zijn om de desbetreffende
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
vorm tegen te gaan c.q. volledig uit te sluiten.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 7
© Open for Support bv
Î
2.
© Open for Support bv
Defacing
Defacing is het zonder toestemming veranderen of volledig vervangen van een website of onderdelen van een website. Bij het toevoegen van teksten spreekt men ook wel van ‘Web Graffiti’. Voor zover bekend is Defacing een vorm van computercriminaliteit die in het bedrijfsleven nog niet heel veel voorkomt. Echter kunnen de gevolgen voor een organisatie met een slecht beveiligde website en/of Web Server vanzelfsprekend bijzonder vervelend zijn.
“Bij nader inzien, had ik mijn concurrenten niet moet en lat en adverteren op mijn website!”
Herkenbaarheid: •
Defacing van uw website is eenvoudig visueel te herkennen wanneer er elementen,
•
De technische herkenbaarheid van Defacing is terug te vinden door materiedeskundige
teksten en/of plaatjes, verschijnen die niet in opdracht van uw organisatie zijn geplaatst; in primair logbestanden van de betreffende Web Server. Ook zou kunnen worden geconstateerd dat ‘vreemde’ bestanden zijn geplaatst op de betreffende Web Server en of bestaande bestanden zijn aangepast of verdwenen. Beveiligingsmaatregelen: •
De te nemen maatregelen om Defacing te voorkomen liggen primair bij uw ‘Web Design Bureau’ en secundair bij uw Hosting partner die zorg moet dragen dat de Web Server(s) up-to-date en veilig zijn;
•
Bij het onderhouden van de website, zoals inloggen op een Content Management
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
Systeem of het ‘uploaden’ van nieuwe of bijgewerkte bestanden middels FTP, dient er gebruik te worden gemaakt van een veilige SSL-verbinding. Een ‘gewone’ (HTTP) verbinding kan eenvoudig worden afgeluisterd waardoor de ‘Hacker’ vervolgens eenvoudig de door u niet gewenste wijzigingen kan doorvoeren.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 8
Î 2.1.
© Open for Support bv
denial of service (dos)
Een Denial of Service of DoS-aanval zijn aanvallen op een specifiek systeem met als doel, dit systeem dermate te belasten, dat het niet meer functioneert. Dit soort aanvallen vinden regelmatig plaats en zijn in de meeste gevallen erg schadelijk voor de getroffen organisatie. Middels een DoS-aanval kan bijvoorbeeld een Mail- of Web Server dermate worden belast, dat de dienst niet meer beschikbaar is voor normaal gebruik. In het geval van een Mail Server kan geen mailverkeer meer plaatsvinden en in het geval van een Web Server is de website niet meer benaderbaar. Tegenwoordige DoS-aanvallen worden meestal niet vanaf één computersysteem geïnitieerd, maar vanaf meerdere (vele) computersystemen tegelijkertijd. Men spreekt dan van een DDoS-aanval c.q. ‘Distributed Denial of Service’. Herkenbaarheid: •
Een ‘Hacker’ kan dermate misbruik maken van een onbeveiligd en kwetsbaar systeem, dat dit systeem voor de ‘gewone gebruikers’ bijzonder traag is of zelfs geheel niet meer beschikbaar is;
•
Een ouderwetse vorm van een DoS-aanval is een ‘Mail Bomb’. Een dermate omvangrijk e-mailbericht dat de ontvangende Mail Server het niet kan verwerken. Alle tegenwoordige Mail Servers zijn tegen een dergelijke ‘Mail Bomb’ beveiligd. Echter kan ook een aanval van SPAM zorgdragen dat een Mail Server dermate wordt belast, dat ‘normaal’ e-mailverkeer niet meer mogelijk is. Dit laatste komt (zéér) regelmatig voor.
Beveiligingsmaatregelen: •
Gebruikmakend van moderne en up-to-date programmatuur voor bijvoorbeeld Web-, Mail- en FTP-servers, alsmede van een up-to-date firewall, kunnen DoS-aanvallen niet meer plaatsvinden;
•
Bescherming tegen een DDoS-aanval is niet mogelijk. Indien dit plaatsvindt zal er of voldoende technische capaciteit moeten zijn om een dergelijke aanval aan te kunnen c.q. te verwerken, of eenvoudigweg dient de internetverbinding tijdelijk te worden
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
afgesloten totdat de aanval ‘voorbij’ is.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 9
Î 2.2.
© Open for Support bv
hacking
De term ‘Hacking’ heeft betrekking op het zich op ongeautoriseerde wijze toegang verschaffen tot een computersysteem. Dit kan tot doel hebben het vernietigen van informatie, het achterlaten van schadelijke programmatuur en/of het verzamelen van voor de ‘Hacker’ van belang zijnde informatie. ‘Hacking’ is strafbaar en valt in Nederland onder artikel 138a van het Wetboek van Strafrecht ‘Computervredebreuk’. Het wetboek omschrijft computervredebreuk als ‘het opzettelijk wederrechtelijk binnendringen in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan’. Voorwaarde voor computervredebreuk is dat de dader bij het binnendringen enige beveiliging doorbreekt of de toegang verwerft door een technische ingreep, met behulp van een valse sleutel (bijvoorbeeld een bij de Hacker bekend wachtwoord), dan wel door het aannemen van een valse hoedanigheid. Diverse in deze brochure omschreven methodieken kunnen door een Hacker worden gebruikt om ongeautoriseerd een systeem binnen te dringen en/of aan bedrijfsgevoelige informatie te komen. Zie o.a. paragrafen Password Guessing, Phishing, Sniffing en zeer actueel: Social Engineering.
“Wij letten niet zo op informatiebeveiliging. Wij hopen dat onze concurrent en onze ideëen stelen, en even onsuccesvol zijn als wij zijn.”
Herkenbaarheid: •
Een Hacker kan op diverse manieren inbreken in een systeem. Door middel van een fysieke inbraak en daadwerkelijk plaatsnemen achter het systeem. Of een inbraak op afstand, bijvoorbeeld gebruikmakend van door de Hacker ontvreemde logingegevens;
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
•
Het is mogelijk middels bijvoorbeeld een Port Scan (zie betreffende paragraaf) en verder onderzoek op afstand, te achterhalen dat een verouderd systeem wordt gebruikt dat kwetsbaar is voor bepaalde schadelijke programmatuur. Op deze wijze kan een Hacker toegang krijgen tot een systeem en tot bedrijfsgevoelige informatie.
Beveiligingsmaatregelen: •
Om Hacken te voorkomen dient de organisatie zorg te dragen voor diverse technische en organisatorische maatregelen. Deze komen verderop in deze brochure aan bod.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 10
Î 2.3.
© Open for Support bv
open relay
Indien een Mail Server op een dermate wijze is geconfigureerd dat externe partijen de server kunnen gebruiken om e-mailberichten te versturen naar externe adressen, spreekt men van een ‘Open Relay’. Indien een Mail Server als Open Relay is ingesteld wordt dit meestal al snel ontdekt door ‘Spammers’ en worden grote hoeveelheden e-mail verstuurd, gebruikmakend van deze Mail Server. Dit kan tot gevolg hebben dat de Mail Server zeer traag wordt en dermate veel berichten moet afhandelen dat het ‘normale’ e-mailverkeer niet meer aan bod komt. Indien er dermate veel berichten worden aangeboden dat de Mail Server het niet meer aankan, spreekt men van een ‘Denial of Service’. Een dergelijke situatie kan voor de organisatie schadelijke gevolgen hebben, gezien het normale inkomend en uitgaand e-mailverkeer niet meer afgehandeld kan worden. Een bijkomend probleem is dat de betreffende Mail Server automatisch op een Black List wordt geplaatst en vervolgens vanaf diverse afzenders geen e-mailberichten meer kan ontvangen. De organisatie zal er vervolgens zelf zorg voor moeten dragen om van de betreffende Black List te worden verwijderd. Herkenbaarheid: •
Een Mail Server kan eenvoudig worden getest op een Open Relay situatie. Dit kan op de volgende URL http://www.abuse.net/relay.html. Na het uitvoeren van de test verschijnt een pagina of de betreffende server berichten van derden accepteert om te worden verzonden.
Beveiligingsmaatregelen: •
Alle tegenwoordige Mail Servers zoals Microsoft Exchange, Lotus Domino e.d. beschikken
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
over specifieke instellingen om Open Relay te blokkeren.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 11
Î 2.4.
© Open for Support bv
password guessing
Veel organisaties denken dat Hackers complexe ‘kraak’ programmatuur gebruiken om zich toegang te verschaffen tot bedrijfscruciale systemen en/of informatie. Het zéér verontrustende feit is echter dat de meeste digitale inbraken mogelijk zijn door het juiste wachtwoord te raden. Of door eenvoudigweg te beschikken over het juiste wachtwoord! Tegenwoordig zijn veel accounts uitsluitend afgeschermd met een gebruikersnaam en een wachtwoord. Accounts die in veel gevallen via Internet benaderbaar zijn, zoals Web Mail. Gebruikers doen er dus goed aan om te kiezen voor een voldoende complex wachtwoord. Uit de praktijk blijkt echter maar al te vaak dat gebruikers toch kiezen voor te eenvoudige wachtwoorden. Hackers kunnen veelal op eenvoudige wijze allerlei combinaties van gebruikersnamen en wachtwoorden proberen. Zo is het bijvoorbeeld mogelijk een ‘Dictionary Attack’ uit te voeren, wat eenvoudigweg betekent dat alle in het door de Hacker gebruikte woordenboek worden geprobeerd om in te loggen. Indien er gebruik wordt gemaakt van een onbeveiligde verbinding (HTTP) is het overigens mogelijk voor Hackers om met speciale (vrij beschikbare) programmatuur deze verbinding af te luisteren en op deze wijze het wachtwoord te achterhalen. Herkenbaarheid: •
Technisch gezien is Password Guessing gelijk aan op een geautoriseerde wijze inloggen. Alleen zal bij Password Guessing dit waarschijnlijk op grote schaal plaatsvinden. Zorg dat die systemen die publiekelijk toegankelijk zijn en uitsluitend zijn afgeschermd met een gebruikersnaam en wachtwoord combinatie, beschikken over logmogelijkheden om deze pogingen te detecteren en -heel belangrijk- te traceren.
Beveiligingsmaatregelen: •
Het is sterk te adviseren om voor bedrijfskritische toepassingen -zoals Web Mail- niet alleen te werken met een gebruikersnaam en een wachtwoord, maar om de authenticatie te versterken en deze af te handelen met certificaten (voor een beveiligde verbinding) en/of een Token;
•
Zorg voor een gedegen uitgeschreven wachtwoordbeleid in de organisatie wat voldoet aan de richtlijnen die staan voor voldoende complexe wachtwoorden. Zorg voor een primair technische controle op de naleving van dit beleid. Voer aanvullend regelmatig
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
controles uit van de in gebruik zijnde wachtwoorden; •
Activeer mogelijke logging om inlogpogingen -succesvol en niet succesvol- te registreren;
•
Draag zorg voor bewustwording bij uw medewerkers voor het gebruik van voldoende complexe wachtwoorden en het niet overdragen van deze informatie. Ook niet aan collegea!
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 12
Î 2.5.
© Open for Support bv
phishing
Phishing (vertaald ‘vissen’) is een zeer actueel onderwerp. Phishing kan worden gezien als een onderdeel van Social Engineering en is een verzamelnaam voor activiteiten die tot doel hebben bepaalde persoonlijke informatie aan mensen te ontfutselen. Phishing is een bijzonder gevaarlijke vorm van Cyber Crime, gezien er wordt ingespeeld op de meest zwakke schakel van de organisatie: de mens. De gevolgen kunnen zéér ingrijpend zijn, afhankelijk van de gegevens die daadwerkelijk ontfutseld zijn. Phishing kan in een vergaande vorm uiteindelijk lijden tot indentiteitsdieftal en situaties waarbij grote uitgaves kunnen worden gedaan, in het geval van het verzamelen van creditcard gegevens. Een ‘Phisher’ maakt in veel gevallen gebruik van een nagemaakte website van een bestaande organisatie zoals een bank. Vervolgens ontvangen niets vermoedende gebruikers een e-mailbericht, vaak niet van echt te onderscheiden, met de vraag de betreffende website te openen en de voor de Phisher gewenste gegevens in te vullen. Ook kan een e-mailbericht schadelijke programmatuur bevatten, in de vorm van een attachment die geopend moet worden, waardoor de gewenste gegevens richting Phisher worden verzonden. Het succes van Phishing is gebaseerd op techniek in combinatie met vertrouwen! Phishing neemt steeds professionelere vormen aan en het wordt voor leken steeds moeilijker om Phishing berichten en websites van echt te onderscheiden. Herkenbaarheid: •
Informeer uw medewerkers om in eerste instantie sceptisch te zijn over elk e-mailbericht.
•
Laat uw gebruikers alert zijn indien ze gebruikmaken van online diensten zoals
Een e-mailbericht is niet altijd afkomstig van de afzender; telebankieren. Controleer of een pagina er correct uitziet, verschijnen geen vreemde foutmeldingen e.d. Beveiligingsmaatregelen: •
Van aller grootste belang is dat medewerkers worden geïnformeerd en zich bewust zijn van het feit dat niet zomaar elke e-mail en website is te vertrouwen: Awareness!
•
Adviseer uw gebruikers om in het geval van bedrijfscruciale websites, nooit op links te klikken in een e-mailbericht om deze sites te openen, maar de betreffende sites uitsluitend te openen vanuit de eigen ‘Favorieten’ of de betreffende URL handmatig in te geven. De ‘vals’ ingegeven URL in het e-mailbericht wordt dan in ieder geval niet geopend;
•
Indien bij het openen van een website een SSL-melding wordt getoond om een certificaat wel of niet te accepteren, kijk dan goed naar de naam van het certificaat en accepteer
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
dit niet blindelings. •
Informeer uw medewerkers om verdachte e-mailberichten en/of websites kenbaar te maken en incidenten te melden bij de hiervoor aangewezen persoon of personen binnen uw organisatie.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 13
Î 2.6.
© Open for Support bv
port scan
Een ‘Port Scan’ kan worden gezien als een inbreker die voelt aan de deurklink van uw kantoor. Elke organisatie beschikt over een ‘Firewall’. Een Firewall is een oplossing die de interne zijde van uw netwerk -uw server(s) en/of werkstation(s)- scheidt van het internet. Dit kan een softwarematige oplossing zijn, doch zijn de meeste Firewalls hardwarematige oplossingen. In de Firewall wordt vervolgens bepaald welk verkeer van buiten naar binnen mag, vanuit internet richting intern netwerk, en welk verkeer van binnen naar buiten mag. Dit verkeer maakt gebruik van zogenaamde ‘Poorten’. Elke dienst op internet maakt zo gebruik van een eigen unieke poort. Zo ontvangt uw Mail Server de post op poort 25 en wordt uw website gepubliceerd op poort 80. Dit zijn wereldwijde vastgestelde standaarden. Een Port Scan is een geautomatiseerd proces waarbij een ‘geïnteresseerde’ onderzoekt welke poorten van uw Firewall zijn opengesteld. Dit kan - en wordt meestal - gezien als het begin van een Hackpoging. Indien bekend is welke poorten zijn geopend, kan vervolgens worden gekeken welke diensten op deze poorten worden aangeboden, welke servers, welke software en welke versies. Deze informatie kan vervolgens worden gebruikt om te onderzoeken of er bijvoorbeeld bekende ‘lekken’ zijn in de toegepaste software. Een relatief eenvoudige methodiek die uiteindelijk kan leiden tot veel schade. Herkenbaarheid: •
Firewalls uit een ietwat hoger segment beschikken over een Intrusion Detection (afgekort IDS) functionaliteit. Met behulp van deze functionaliteit kan een Port Scan worden gedetecteerd en met de Intrusion Prevention functionaliteit, kan de uitvoerder vervolgens worden geblokkeerd. Echter kunnen tegenwoordig ook zogenaamde ‘Sneaky Scans’ worden uitgevoerd die door het IDS-systeem niet kunnen worden getraceerd.
Beveiligingsmaatregelen: •
Om een Port Scan tegen te gaan is een Firewall noodzakelijk die beschikt over Intrusion
•
Belangrijker is dat de diensten, servers en toepassingen, die op bepaalde poorten
Detection en Intrusion Prevention functionaliteit; ‘luisteren’ te allen tijde up-to-date zijn en zijn voorzien van de meest recente Security Updates; •
Het is aan te raden om publieke diensten niet aan de binnenzijde van het netwerk te plaatsen maar in een separate netwerkzone, een zogenaamde Demilitarized Zone
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
(afgekort DMZ). Professionele Firewalls beschikken over een dergelijke zone, echter ook uw interne ICT-infrastructuur moet toestaan hier gebruik van te maken. Door deze diensten vanuit een aparte zone aan te bieden, hebben kwaadwillenden nimmer toegang tot de interne zijde van uw netwerk en tot uw bedrijfsgevoelige informatie.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 14
Î 2.7.
© Open for Support bv
sniffing
‘Sniffing’ is het bekijken van netwerkverkeer. Sniffing kan om legitieme redenen gebeuren. Bijvoorbeeld wanneer er prestatieproblemen zijn met het netwerk of in het geval dat bij het openen van een website eerst wordt gekeken welke browser wordt gebruikt en welke schermresolutie (Browser Sniffing). Echter kan Sniffing ook door kwaadaardigen worden gebruikt om vertrouwelijke informatie te achterhalen. Informatie zoals gebruikersnamen en wachtwoorden om vervolgens met behulp van deze gegevens cruciale bedrijfsinformatie te benaderen. Sniffing is met de komst van ontwikkelingen als draadloze netwerken en bijvoorbeeld Blue-Tooth eenvoudiger geworden. Sniffers kunnen speciale apparatuur en programmatuur gebruiken om ‘te luisteren’ naar netwerkverkeer om vervolgens gewenste gegevens te verzamelen. Herkenbaarheid: •
Indien gebruik wordt gemaakt van professionele ‘Sniffer’ oplossing is detectie volstrekt onmogelijk! Deze apparatuur luistert uitsluitend naar het netwerk-verkeer en verstuurt zelf geen data. Detecteren is in die hoedanigheid dus onmogelijk;
Beveiligingsmaatregelen: •
Gezien het detecteren van professionele Sniffer-oplossingen nagenoeg onmogelijk is, is het moeilijk om hiertegen maatregelen te treffen. De meest voor de hand liggende maatregel is zorg te dragen dat het af te luisteren netwerkverkeer geen bruikbare informatie bevat, bijvoorbeeld door dit verkeer te versleutelen (encryptie);
•
Besteedt eveneens aandacht aan het feit dat het moeilijk -niet mogelijk- moet zijn om
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
‘niet gewenste apparatuur’ aan het bedrijfsnetwerk te koppelen.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 15
Î 2.8.
© Open for Support bv
social engineering
Social Engineering is een sterk opkomende vorm van Cyber Crime en is volledig gericht op de zwakste schakel in ons informatiebeveiligingsbeleid: de mens. De ‘aanval’ is gericht op het loskrijgen van gevoelige en/of geheime informatie van de persoon in kwestie. De aanvaller of ‘Hacker’ doet dit door ‘emotioneel’ zo dicht mogelijk bij zijn doel proberen te komen. Social Engineering is een verzamelnaam van diversie vormen van Cyber Crime omschreven in deze brochure. Kenmerkend van Social Engineering is dat er geen aanval op de techniek wordt uitgevoerd, maar op de mens. Phishing, misbruik van Social Network Sites, Spam, al deze vormen worden gebruikt om het gedrag van het doel - de mens - te beïnvloeden. In weze probeert de ‘Hacker’ bij zijn ‘slachtoffer’ c.q. doel nieuwsgierigheid of medelijden te wekken of zelfs een slachtoffer angst aan te jagen. Alvorens de Hacker contact zoekt, vindt er eerst een onderzoek plaats. Online wordt gezocht naar relevante en bruikbare informatie waar het ‘slachtoffer’ mee kan worden benaderd. De meest vergaande methodiek in deze is ‘Dumpster Diving’ waarbij letterlijk wordt gezocht in het afval van het doel. Let wel, binnen een kantoorsituatie kan dit de prullenbak zijn of weggegooide documenten bij een kopieermachine. Vervolgens vindt er een persoonlijk contact plaats. Vaak is dit een telefoontje, maar ook kan dit een contact per e-mail zijn. In een e-mailbericht, voorzien van de juiste afzender, voorzien van het juiste onderwerp en voorzien van de juiste tekst wordt het doel verzocht een bepaalde actie te ondernemen. Het openen van een attachment, het bekijken van een plaatje, het klikken op een link om een website te openen kan hierbij voldoende zijn om lokaal de gewenste schadelijke software te installeren (zie paragrafen Trojaanse Paarden en Virussen). In veel gevallen zijn van de afzender zelfs persoonlijke pagina’s vindbaar op Social Networks als Linkedin, Hyves, Facebook e.d. Op internet is een identiteit relatief snel gecreëerd! Het gevolg is vaak aanzienlijk. Gevoelige gegevens worden gedeeld met of zonder medeweten van het doel. De Hacker beschikt over de gewenste informatie en kan de organisatie hiermee schade berokkenen. In een groeiend aantal gevallen worden recent vele - vooral grote organisaties gechanteerd. Veel van deze zaken halen het nieuws niet, gezien de getroffen organisaties in kwestie geen negatieve publiciteit wensen. Herkenbaarheid: •
Social Engineering kan pas worden geconstateerd als het feit al voor een deel heeft
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
plaatsgevonden. Beveiligingsmaatregelen: •
De enige en belangrijkste maatregel die genomen kan worden is het informeren van de zwakste schakel: de mens. Het creëeren van bewustzijn door het wijzen op de gevaren en de risico’s.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 16
Î 2.9.
© Open for Support bv
social networksites (misbruik van)
Social Networksites zijn als zodanig vanzelfsprekend geen vorm van Cyber Crime. Met Social Networksites bedoelen we online omgevingen als Linkedin, Hyves, Facebook, Twitter et cetera. Echter vermelden wij deze omgevingen in deze informatiebrochure ‘Internet Awareness’, gezien deze omgevingen uw organisatie aardige schade kunnen toebrengen, indien ‘verkeerd’ toegepast. In de loop der tijd is een vreemd verschijnsel ontstaan dat mensen alle mogelijke informatie, in de vorm van teksten en foto’s, online plaatsen. Informatie die in sommige gevallen nimmer ‘per ongeluk op de koffietafel’ terecht zou komen. Toch hebben internetgebruikers tegenwoordig het idee dat als een ‘Mijn Foto-Album’ wordt aangemaakt, dit ook een album is uitsluitend bedoeld voor, en te gebruiken is door genodigden. Echter met de komst van de krachtige zoekmachines, kan al deze informatie snel worden gevonden en worden bekeken door heel andere mensen dan uit de eigen ‘familie- en vriendenkring’. Een beetje ‘verkeerde’ foto-album en/of omschrijving van interessegebieden en hobbies, alsmede de volledig zichtbare kennissenkring, kunnen een negatief beeld uitstralen richting potientiële opdrachtgevers, leveranciers of medewerkers. Herkenbaarheid: •
Herkenbaarheid is in deze moeilijk, anders dan het constateren op het moment dat het
•
Door het website ‘gedrag’ op het zakelijk computersysteem van uw medewerkers te
reeds heeft plaatsgevonden; monitoren, kunt u in ieder geval analyseren of er veelvuldig gebruik wordt gemaakt van bepaalde sociale netwerksites om vervolgens een gerichtere controle uit te voeren binnen deze omgevingen. Beveiligingsmaatregelen: •
Wederom, creëer bewustzijn bij uw medewerkers wat wel en wat niet online geplaatst
•
‘Google’ periodiek uw organisatie en uw medewerkers! Dit is precies wat uw potentiële
kan en moet worden; opdrachtgevers, leveranciers en medewerkers ook doen. Kijk of de informatie die u
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
achterhaalt naar wens is en zo niet, onderneem (tijdig) actie.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 17
Î 2.10.
© Open for Support bv
spam
Spam zijn e-mailberichten die zonder toestemming van de ontvanger worden verzonden. Spam is een van de grootste problemen van afgelopen jaren op het gebied van e-mail. Ruim 95% van al het e-mailverkeer wereldwijd betreft Spam! Spam veroorzaakt veel irritatie bij gebruikers en zorgt voor veel tijdsverlies. Spam is vaak de drager voor schadelijke software (zie paragrafen Virussen en Trojaanse Paarden) en misschien nog gevaarlijker, Phishing pogingen (zie paragraaf Phishing). In ieder geval is Spam een syndroom waar elke organisatie haar maatregelen tegen moet nemen. Een veelvoorkomende situatie is dat een ‘Spammer’ een afzenderadres gebruikt van een bestaande organisatie om grote hoeveelheden Spam te versturen. Dit betekent dat alle Spamberichten die niet kunnen worden afgeleverd en eventueel door ontvangers gestuurde reactie(s), allemaal bij de desbetreffende organisatie binnenkomen. In de meeste gevallen zorgt dit vervolgens voor het overbelasten van de Mail Server van deze organisatie waardoor het normale zakelijke e-mailverkeer zeer langzaam of zelfs helemaal niet meer wordt afgehandeld.
“Vandaag heb ik alles gekocht wat de spammers mij hebben aangeboden. je zou zeggen dat ze nu wel zouden ophouden...?”
Herkenbaarheid: •
Er zijn diverse technische aspecten, aan de hand waarvan Spam kan worden geïdentificeerd, zoals een ongeldig afzenderadres. De meeste Spam Filters kunnen berichten identificeren en Spam met een percentage van 90% tot 99% terugdringen.
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
Beveiligingsmaatregelen: •
Informeer uw medewerkers zo min mogelijk -bij voorkeur helemaal niet- bedrijfsmatige e-mailadressen online te publiceren c.q. in te voeren , waaronder op Social Networks, nieuwsgroepen, informatie-aanvraag formulieren e.d.;
•
Gebruik een kwalitatief goed Anti-Spam systeem dat gebruik maakt van alle mogelijke technieken om Spam te onderscheiden van legitieme berichten. Technieken als DNS-verificatie, Black- en White Lists, inhoudsanalyse e.d.;
•
Bijzonder belangrijk. Maak uw medewerkers bewust van het feit NOOIT te reageren op een Spam-bericht, zoals het sturen van een ‘afmelding’. De Spammers weten dan dat het betreffende afzenderadres bestaat en er zal een vloedgolf aan berichten volgen.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 18
Î 2.11.
© Open for Support bv
spoofing
Spoofing is eenvoudig gesteld ‘indentiteitsvervalsing’. Je voordoen als iemand anders. Elke techniek waarbij de bron of afzender niet op een betrouwbare wijze wordt geverifieerd, is kwetsbaar voor Spoofing. Er zijn meerdere vormen van Spoofing, onderstaand de drie meest voorkomende. •
Mail-Spoofing Bij Mail-Spoofing worden specifieke eigenschappen van het e-mailbericht gewijzigd waardoor het lijkt alsof het bericht van iemand anders afkomstig is. Deze vorm van Spoofing vindt op grote schaal plaats bij Spammers en bij Phishing activiteiten (zie de paragraaf Phishing).
•
ARP-Spoofing Naast e-mail- is ARP-Spoofing de eenvoudigst toepasbare vorm van Spoofing. Met behulp van ARP-Spoofing is het mogelijk om het normaliter unieke MAC-adres van een netwerkkaart aan te passen. Dit kan ‘nuttig’ zijn in situaties waarbij uitsluitend systemen worden toegelaten met een specifiek MAC-adres.
•
DNS-Spoofing Dit is een technisch complexe vorm van Spoofing waarbij gegevens in een DNS-server worden aangepast, zodat een bepaalde domeinnaam niet meer naar de werkelijke website verwijst, maar naar een -veelal- door Hackers nagemaakte website. Deze techniek wordt ook wel ‘Pharming’ genoemd.
•
IP-Spoofing Bij IP-Spoofing neemt een Hacker het IP-adres van iemand anders om hiermee op het internet actie(s) te ondernemen. Tegenwoordig is deze techniek op internet in veel gevallen niet meer mogelijk.
Herkenbaarheid: •
IP- en DNS-Spoofing kan worden gedetecteerd met speciale software. Ook kan het controleren van diverse logboeken, waaronder Firewall logboeken, leiden tot het detecteren van Spoofing;
•
Mail Spoofing kan worden gecontroleerd door het controleren van de speciale ‘Headers’ van een e-mailbericht. Deze zijn standaard niet zichtbaar maar kunnen in e-mail
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
programmatuur zoals MS Outlook en Lotus Notes wel worden opgevraagd. Beveiligingsmaatregelen: •
Het tegengaan van IP-Spoofing en DNS-Spoofing is mogelijk met behulp van vergaande technische maatregelen;
•
Door middel van het controleren van Mail Headers kan in ieder geval worden gecontroleerd of het bericht afkomstig is van het juiste en/of een bestaand domein. Of de betreffende afzender (de persoon) daadwerkelijk bestaat, is technisch niet te controleren.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 19
Î 2.12.
© Open for Support bv
trojaans paard
Een Trojaans Paard is een programma dat onder valse voorwendselen wordt uitgevoerd. De gebruiker denkt een bepaald programma of functie te starten, maar daadwerkelijk wordt een schadelijk programma gestart. Tegenwoordig is de term Trojaans Paard (of ‘Trojan’) een verzamelnaam voor allerlei schadelijke programmatuur die bepaalde -meestal ongewensteacties ondernemen. Een Trojaans Paard is geen ‘Virus’ zoals in de volgende paragraaf wordt behandeld. Een Trojaans Paard wordt niet automatisch gestart zoals een Virus, maar hier is een handeling van de gebruiker voor nodig. Trojaanse Paarden worden steeds geavanceerder en daarmee steeds gevaarlijker en kunnen op verschillende manieren op een computersysteem terechtkomen: •
Een veel voorkomende vorm is door middel van een e-mailbericht waarin de gebruiker wordt ‘overgehaald’ de bijgevoegde bijlage c.q. attachment te openen. Met het openen van de attachment, dit kan een programma zijn, een webpagina, of zelfs een plaatje, wordt het Trojaans Paard automatisch en niet zichtbaar voor de gebruiker geïnstalleerd en geactiveerd;
•
Een eveneens veel voorkomende vorm is via het bezoeken van bepaalde websites, waarbij de gebruikte browser niet up-to-date is en kwetsbaarheden bevat. Dit kan een website zijn die speciaal is opgezet om het Trojaans Paard te verspreiden, zoals veel pornosites e.d. maar het kan ook een bonafide doch besmette website zijn, die bijvoorbeeld middels ‘Defacing (zie paragraaf) is voorzien van het Trojaans Paard;
•
Een Hacker die toegang heeft gekregen tot het systeem en het Trojaans Paard zelf
•
Een Trojaans Paard kan een onderdeel zijn van een Virus wat is ‘binnengekomen’. Zie
installeert c.q. plaatst;
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
de paragraaf Virussen (& Wormen).
“Wij houden ons niet zo bezig met informatiebeveiliging. Het meeste wat wij hier produceren is toch niet te begrijpen!”
De aanwezigheid van een Trojaans Paard op een computersysteem kan zorgdragen voor het genereren van veel extra netwerkverkeer, ook richting internet. De meeste Internet Service Providers zijn in staat om dit extra -niet normale- verkeer te detecteren en in de meeste gevallen wordt een dergelijke internetverbinding dan ook direct automatisch afgesloten. Met alle problemen voor de eigenaar van deze verbinding van dien!
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 20
Î 2.13.
gemaakt tussen de volgende soorten van Trojaanse Paarden: •
Bot Een ‘Bot’ is een vorm van een Trojaans Paard dat wordt gebruikt om een computersysteem -samen met andere computersystemen die door dezelfde Bot zijn geïnfecteerdin te schakelen om een DDoS-aanval uit te voeren. Ook worden dit soort ‘netwerken van besmette computersystemen’ veelvuldig gebruikt voor het massaal versturen van Spam;
•
Keylogger Een ‘Keylogger’ is een gevaarlijk stukje software. Een Keylogger registreert alle toetsaanslagen van een gebruiker en in sommige gevallen ook de muiskliks. Vervolgens zorgt de Keylogger ervoor dat de gewenste gegevens worden doorgestuurd naar een derde partij. Deze techniek wordt gebruikt om bijvoorbeeld logingegevens te verzamelen;
•
Rootkit Een ‘Rootkit’ is een vorm van een Trojaans Paard dat zich diepgaand in het besturingssysteem nestelt. Veel Rootkits bevatten een zogenaamd ‘Backdoor’ component, wat de maker van de Rootkit de mogelijkheid biedt het systeem over te nemen (om later verdere acties te ondernemen);
•
Spyware Spyware is een bekende vorm van Trojaanse Paarden. Spyware is meestal specifiek bedoeld voor het verzamelen van bepaalde informatie, bijvoorbeeld het surfgedrag van de gebruiker. Het is ook Spyware die meestal zorg draagt voor de irritante popup schermen met reclameboodschappen e.d.
Herkenbaarheid: •
Er zijn verschillende zaken die wijzen op de aanwezigheid van een Trojaans Paard op een besmet computersysteem. De aanwezigheid van onbekende processen in het geheugen, de aanwezigheid van onbekende, vreemde bestanden, het luisteren van het computersysteem op ‘vreemde poorten’ (TCP/IP-protocol) en onverwacht netwerkverkeer van en naar het computersysteem.
Beveiligingsmaatregelen: •
Creëer bij uw medewerkers bewustzijn dat niet zomaar elke bijlage in een e-mailbericht geopend moet worden en dat geen bepaalde voor de organisatie niet wenselijke websites bezocht moeten worden. Ook indien het besturingssysteem MS Windows een melding geeft van ‘Niet vertrouwde software’ moet dit worden gelezen en worden afgewogen alsvorens er ‘blind’ wordt geklikt op OK;
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
•
Zorg dat gebruikers op lokale computersystemen over zo min mogelijk rechten beschikken. Een Trojaans Paard kan zich alleen daar installeren, waar de gebruiker ook rechten heeft om software te installeren c.q. bestanden te plaatsen;
•
Draag zorg voor een goede Firewall waarbij uitsluitend die poorten vanuit de binnenzijde van het netwerk zijn geopend die ook daadwerkelijk benodigd zijn. Dit kan voorkomen dat het Trojaans Paard informatie naar buiten kan doorsturen;
•
Scan periodiek computersystemen op de aanwezigheid van Trojaanse Paarden. Deze scan dient niet uitgevoerd te worden op een actief systeem, maar dient gestart te worden bij voorkeur vanaf een opstart CD-Rom met speciale scan-software.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 21
© Open for Support bv
Î
Er zijn diverse vormen van Trojaanse Paarden. In grote lijnen kan een onderscheid worden
© Open for Support bv
Een computervirus is een vorm van schadelijke software. De verzamelnaam voor schadelijkse software zoals virussen, wormen en Trojaanse Paarden is ‘Malware’. Malware is een afkorting voor ‘Malicious Software’ (kwaadwillende software). Een virus kan een computersysteem ‘besmetten’ doordat het computersysteem in aanraking komt met een besmette bron. Dit kan een informatiedrager zijn zoals een CD-Rom of DVD, een USB Storage Key of bijvoorbeeld een externe harde schijf. Ook kunnen virussen middels e-mailberichten worden verspreidt en binnengehaald, meestal door aanwezige bijlagen c.q. attachments, en door het bezoeken van besmette websites. Een Worm is geen Virus maar wel een stukje schadelijke software c.q. Malware. Een Worm kan zich verspreiden zonder menselijke tussenkomst. Zo kan een Worm zichzelf repliceren vanuit een besmet computersysteem naar alle overige aanwezige computersystemen in dat netwerk. Vaak wordt een Worm gebruikt om een Virus of een Trojaans Paard te verspreiden. Er zijn diverse soorten Virussen, waaronder een Bootsectorvirus dat gegevens toevoegt aan de bestanden waarmee het besturingssysteem wordt gestart. Vervolgens kunnen andere bestanden worden besmet en andere informatiedragers die worden gebruikt. Ook bestaan zogenaamde ‘Macrovirussen’ die verspreid worden door bestanden met macro’s, zoals Microsoft Word en -Excel en sinds kort in toenemende mate middels PDF- alsmede Flash-bestanden! Elk Virus beschikt over een uniek stukje code waarmee het Virus kan worden geïdentificeerd. Dit stukje code kan worden gezien als een ‘vingerafdruk’ van het Virus. Anti-Virus programma’s beschikken over een database c.q. lijst met al deze vingerafdrukken en weten op deze wijze Virussen te detecteren. Het nadeel is evident, de vingerafdruk moet bekend zijn, pas dan wordt het Virus gedetecteerd. De meeste Anti-Virus programma’s gebruiken dan ook aanvullende methodes om Virussen te detecteren en te isoleren. Indien een computersysteem zonder een gedegen Anti-Virus beveiliging aan het internet wordt gekoppeld, leert de ervaring dat dit systeem binnen gemiddeld 30 seconden is besmet! Herkenbaarheid: •
De aanwezigheid van Virussen c.q. Malware is moeilijk te herkennen, anders dan met het gebruik van (actuele) Anti-Virus programmatuur.
Beveiligingsmaatregelen:
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
•
Maak op alle aanwezige werkstations gebruik van goede Anti-Virus software en zorg dat deze dagelijks automatisch wordt bijgewerkt. De grotere Anti-Virus producenten brengen soms zelfs meerdere updates per dag uit;
•
Scan externe informatiedragers eerst op een goed beveiligd -geïsoleerd van het netwerk-
•
Beperk gebruikers in het per e-mail versturen en ontvangen van bepaalde bestanden,
computersysteem, alvorens dit te gebruiken binnen het bedrijfsnetwerk; waaronder extensies zoals BAT, COM, DLL, EXE, PIF, SCR en VBS alsmede van het versturen en ontvangen van bestanden van een bepaalde maximale omvang; •
Maak gebruikers bewust van het feit niet zomaar bijlagen in e-mailberichten te openen en niet gewenste websites te bezoeken.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 22
Î 2.14. Virussen (& wormen)
© Open for Support bv
wifi (misbruik van)
Draadloze netwerken worden veelvuldig toegepast in - vaak kleinere - organisaties en veelvuldig in thuissituaties. Vaak werken medewerkers van thuis uit, gebruikmakend van een goed of slecht beveiligd draadloos netwerk. Dus ook in deze situatie is dat meer dan relevant voor de organisatie in kwestie. Een draadloos netwerk wordt gerealiseerd gebruikmakend van een ‘Router’ die deze draadloze functionaliteit biedt. In deze Router dient vervolgens het beveiligingsnivo te worden bepaald wat wordt gebruikt tussen de computer die draadloos verbinding maakt met de Router. Deze beveiliging kan zijn uitgeschakeld (komt veel voor...) en deze beveiliging kan gebruik maken van meestal de volgende technieken WEP, WPA en WPA2. Het gros van de draadloze Routers maakt standaard gebruik van WEP. Dit is een techniek die sterk is achterhaald en de gemiddelde ‘Hacker’ is in minder dan 1 minuut (!) op uw netwerk ‘mee aan het luisteren’. WPA is een iets gevorderde techniek, echter ook deze kan in afzienbare tijd (soms al in minder dan 15 minuten) worden ‘gekraakt’. De meest veilige standaard op dit moment is WPA2. Het zonder toestemming gebruiken van andermans draadloos netwerk is strafbaar. Overigens ook als dit netwerk niet beveiligd is. Er bestaat een ‘bezigheid’ (voor sommige een hobby) die men ‘War Driving’ noemt. ‘War Driving’ is een activiteit waarbij de ‘Hacker’ rondrijdt met een auto en computer uitgerust met WiFi apparatuur. Met behulp van deze apparatuur kunnen vervolgens -op kinderlijk eenvoudige wijze- draadloze netwerken worden gedetecteerd. De Hacker kan bekijken wat het beveiligingsnivo van het gevonden draadloze netwerk is en kan vervolgens proberen toegang te krijgen tot het netwerk en alle hierin aanwezige informatiebronnen. Herkenbaarheid: •
Het feit dat derden meeluisteren op een draadloze verbinding is bijzonder moeilijk te traceren. Indien derden daadwerkelijk actief gebruik maken van de verbinding, kan het nader onderzoeken van de nodige logbestanden lijden tot constatering van dit feit.
Beveiligingsmaatregelen: •
Het is ons advies om in een bedrijfssituatie geen gebruik te maken van draadloze verbindingen. De kosten van professionele apparatuur die afdoende veiligheid biedt, wegen veelal niet op tegen het aanleggen van bekabeling;
•
Indien bovenstaand punt is uitgesloten is het te adviseren om in ieder geval uitsluitend gebruik te maken van WPA2 en om een extra beveiligingsnivo toe te voegen. Dit kan het toevoegen zijn van MAC-adressen (een uniek adres voor elk hardwarematig systeem)
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
op de draadloze router (MAC-adresfiltering). Andere systemen hebben dan eenvoudigweg geen toegang tot de draadloze router. Ook kan aanvullend gebruik worden gemaakt van een VPN-verbinding tussen computer en router. Meeluisteren is in deze situatie in ieder geval uitgesloten; •
Controleer uw netwerk periodiek op de aanwezigheid van hardware die draadloze verbindingen toestaat;
•
Beveilig ook uw Router met een (ruim) voldoende complex wachtwoord;
•
Het verdient de aanbeveling om bij het gebruik van draadloze toegang tot het netwerk in een bedrijfssituatie deze te faciliteren in een aparte netwerkzone van de Firewall.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 23
Î 2.15.
© Open for Support bv
Dit is een vrij technische vorm van Cyber Crime. Cross-Site Scripting -afgekort XSS- is het misbruik maken van een niet correct functionerende Web Server. Een Web Server is een server die verantwoordelijk is voor het op internet publiceren van één of meerdere websites. Doordat de Web Server niet correct is geconfigureerd kunnen kwaadwillenden een schadelijke code plaatsen binnen de website(s) aanwezig op deze Web Server. Het doel hierbij is het laten uitvoeren van deze schadelijke code op het moment dat de betreffende website(s) door een bezoeker wordt benaderd c.q. vanuit de browser wordt geopend. Dit kan bijvoorbeeld leiden tot het uitlezen van informatie opgeslagen op de lokale computer en/of het plaatsen van schadelijke programmatuur op het lokale computersysteem (zie paragraaf ‘Virussen (& Wormen)’. Herkenbaarheid: •
Misbruik door middel van Cross-Site Scripting is uitsluitend door materiedeskundigen terug te vinden in de logbestanden van de Web Server of de browser.
Beveiligingsmaatregelen: •
De meeste te nemen maatregelen zijn technisch van aard en dienen uitgevoerd te worden door de organisatie die verantwoordelijk is voor de ontwikkeling van uw website. Overtuig u in ieder geval van het kennisnivo van uw webbouwer;
•
Zorg dat de in uw IT-infrastructuur aanwezige browsers regelmatig worden voorzien van beveiligingsupdates. Veel aanvallen maken gebruik van bekende zwakheden in de
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
browser.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 24
Î 2.16. xxs (Cross-Site Scripting)
organisatorische aandachtspunten
Indien u daadwerkelijk de inhoud van alle voorgaande pagina’s goed tot u heeft genomen, zult u overtuigd zijn van het feit dat ‘Informatiebeveiliging’ een belangrijk aspect moet zijn binnen uw organisatie. Een aspect dat op elk nivo in uw organisatie aandacht moet krijgen en op hoog nivo bekrachtigd moet worden. In dit hoofdstuk een aantal organisatorische maatregelen en aandachtspunten -in willekeurige volgorde- die u kunnen ondersteunen.
“Iemand heeft mijn identit eit gestoren! Gelukkig... ik heb een hekel aan mezelf.”
•
Security Manager Stel in uw organisatie -in het geval van een grotere organisatie- een beveiligingsteam samen, bestaande uit medewerkers vanuit verschillende onderdelen van uw organisatie, waarbij dit team gezamenlijk verantwoordelijk is voor de Informatiebeveiliging binnen uw organisatie. Maak minimaal één persoon verantwoordelijk als ‘Security Manager’ die het mandaat heeft om binnen de organisaties diverse controles uit te voeren. Stel uw medewerkers hiervan op de hoogte.
•
Beveiligingsbeleid Stel een beveiligingsbeleid samen en omschrijf hierin hoe de organisatie omgaat met Informatiebeveiliging en waar de diverse verantwoordelijkheden liggen met betrekking tot de verschillende aspecten van beveiliging binnen uw organisatie en binnen uw ICT-infrastructuur. Laat alle volgende punten onderdeel uitmaken van dit beleid.
•
ICT-Gedragscode
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
Stel een ICT-Gedragscode op voor uw medewerkers waarin duidelijk is omschreven hoe de organisatie wenst dat de medewerkers omgaan met de verschillende elementen binnen de ICT-infrastructuur. Omschrijf hoe medewerkers moeten omgaan met (externe) gegevensdragers, met e-mail en internet, met notebooks en thuiswerkplekken, alsmede hoe om te gaan met wachtwoorden. Laat (nieuwe) medewerkers deze ICT-Gedragscode als integraal onderdeel van een arbeidsovereenkomst tekenen. Indien uw organisatie over een ICT-Gedragscode beschikt bent u juridisch gerechtigd om gebruik te maken van zogenaamde ‘monitorsoftware’ om bepaalde handelingen van uw medewerkers te loggen, zoals internetgebruik en om uw medewerkers aan te spreken op momenten van misbruik.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 25
© Open for Support bv
Î
3.
binnen uw organisatie toegang krijgen tot welke informatie. Hierbij dienen functies uitsluitend toegang te krijgen tot die informatie die noodzakelijk is voor de uitvoer van de betreffende functie. Zowel op server- als op lokaal- (werkplek) nivo. Omschrijf hierin tevens hoe om te gaan met authenticatie. Waar moeten gebruikersnamen aan voldoen en waar moeten wachtwoorden aan voldoen? Hoe vaak moeten deze worden gewijzigd? Omschrijf de processen waarmee authenticatie middels een gebruikersnaam en wachtwoord voldoende is en de processen waarbj bijvoorbeeld Tokens en/of Certificaten gebruikt moeten worden. Omschrijf hierin eveneens hoe en waar deze gegevens opgeslagen dienen te worden en wie toegang heeft tot deze gegevens. •
Softwarebeleid Bepaal welke software in uw organisatie gebruik mag worden en voor welke functies. Definieer hierbij tevens de standaard Anti-Virus programmatuur die op systemen aanwezig moet zijn, willen deze connectie kunnen maken met het netwerk. Kies eventueel minder kwetsbare programmatuur voor bepaalde toepassingen, bijvoorbeeld FireFox in plaats van Microsoft Internet Explorer.
•
Updatebeleid (versiebeheer) Definieer voor de verschillende cruciale toepassingen binnen uw organisatie een updatebeleid. Zorg dat kwetsbare onderdelen in uw ICT-infrastructuur, zoals de besturingssystemen, browsers en programmatuur als Microsoft Office, altijd up-to-date zijn. Definieer hierin ook welke toepassingen niet automatisch geupdate mogen worden, omdat bijvoorbeeld andere toepassingen hier gebruik van maken.
•
Backup- & Restorebeleid Zéér belangrijk. Zorg voor een goed uitgeschreven Backup maar zeer zeker ook Restore beleid. Bepaal wie binnen uw organisatie verantwoordelijk zijn voor de uitvoer van deze processen en definieer wie verantwoordelijk is voor de controle van deze processen. Zorg ook dat u beschikt over een heldere Restoreprocedure in het geval van serieuze calamiteiten en test deze procedure minimaal eenmaal per jaar.
•
Incidenten Bepaal hoe uw medewerkers en hoe uw organisatie moet omgaan met beveiligings-
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
incidenten. Wie draagt zorg voor de vastlegging van incidenten en op welke wijze. Tenslotte, communiceer uw beleid intern. Niet eenmalig maar periodiek. Maak uw medewerkers volledig bewust van wat gewenst is en wat niet, wat mag en wat niet. Laat eventueel zien hoe u erop toeziet dat de diverse onderdelen in uw Informatiebeveiligingsbeleid ook worden nageleefd. Indien u nog niet over een Informatiebeveiligingsbeleid beschikt of onderdelen hiervan, start dan met een onderdeel wat voor uw organisatie het meest van belang is. Geef ‘informatiebeveiliging’ in ieder geval structureel aandacht.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 26
Autorisatiebeleid Omschrijf en implementeer een autorisatiebeleid. Hierin wordt opgenomen welke functies
© Open for Support bv
Î
•
technische aandachtspunten
In dit laatste hoofdstuk van deze informatiebrochure een aantal technische aspecten van informatiebeveiliging. Gelijk aan de organisatorische aandachtspunten, neem de informatie tot u en overweeg wat voor uw organisatie relevant is. Laat hierbij de technische maatregelen en de bijbehorende kosten afwegen tegen de risico’s die zij afdekken. •
Firewall Maak gebruik van een hardwarematige Firewall en bij voorkeur maak gebruik van een DMZ voor uw publieke diensten, zoals de Mail-, FTP- en/of Web Server. Draag er zorg voor dat het verkeer tussen uw netwerk-, DMZ- en Internetzone goed is afgesteld. Voorkom dat poorten openstaan -in welke richting dan ook- die niet nodig zijn. Hiermee beperkt u o.a. de schade die Trojaanse Paarden kunnen aanrichten (van binnen naar buiten). Kies bij voorkeur voor een Firewall die over Intrusion Detection en Intrusion Prevention functionaliteit beschikt. Alsmede over VPN-mogelijkheden om externe medewerkers op een veilige wijze toegang te bieden tot uw interne netwerk. Activeer relevante logging op de Firewall en controleer deze steeksproefgewijs. Voer periodiek, één of tweemaal per jaar, een Security Scan uit. Zowel vanuit de buitenzijde richting Firewall en achterliggende systemen, alsmede vanuit de binnenzijde van uw netwerkomgeving. Een goede Security Scan detecteert aan de binnenzijde van uw netwerk bijvoorbeeld ook missende belangrijke updates van programmatuur.
•
Encryptie Gebruik encryptiesoftware om gevoelige informatie extra te beveiligen. Gebruik ook encryptie op mobiele apparatuur, zoals notebooks (!) en PDA’s. Een ‘BlackBerry’ bevat in de meeste gevallen een grote hoeveelheid aan gevoelige bedrijfsinformatie. Zorg voor een goede beveiliging van al deze zaken. Voor de encryptie van notebooks en andere externe gegevensdragers zijn interessante en zéér goed werkende Open Source toepassingen beschikbaar.
•
Rechten Maak gebruik van de rechtenstructuren die het toegepaste besturingssysteem u biedt. Standaard hebben gebruikers helemaal geen rechten en vanuit deze situatie
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
gaat u bepalen wie toegang dient te hebben tot welke informatie. Laat gebruikers nimmer ‘werken’ met een Administrator Account, maar gebruik deze uitsluitend als het nodig is. Zorg zoveel mogelijk dat gebruikers zo min mogelijk -bij voorkeur geen- rechten hebben op lokale computersystemen. Dit voorkomt het installeren van illegale software en zoals omschreven in deze brochure, ook schadelijke programmatuur zoals Trojaanse Paarden kunnen zich dan niet lokaal installeren.
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 27
© Open for Support bv
Î
4.
zijn en beschikken over de laatste updates, Security Patches e.d. Denk hierbij vanzelfsprekend aan uw Anti-Virus en Anti-Spam software, maar ook aan uw besturingssystemen op server(s) en werkplek(ken), alsmede aan de browsers en toepassingen als Microsoft Office. •
Redundante oplossingen Investeer zoveel mogelijk in redundant uitgevoerde oplossingen voor kritieke componenten in uw ICT-infrastructuur. Dit biedt de mogelijkheid om bij volledige uitval door te kunnen werken.
•
Controle logbestanden Controleer periodiek logbestanden van cruciale componenten in uw ICT-infrastructuur, zoals Firewall en server(s). Er bestaan diverse oplossingen die logbestanden automatisch kunnen annalyseren en een verantwoordelijke persoon attenderen indien er onregelmatigheden worden geconstateerd.
•
Monitorsoftware Indien uw organisatie over een ICT-Gedragscode beschikt, zie hoofdstuk Organisatorische aandachtspunten, kunt u -op een juridisch correcte wijze- gebruik maken van monitorc.q. bewakingssoftware. Dit is speciale software die het computer- en netwerkgebruik van uw medewerkers in kaart kan brengen. Hierbij kunt u denken aan e-mail- en internetgebruik, maar ook de logging en bewaking van het gebruik van data c.q.
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
gegevensbestanden (wie kopieert welke bestanden waarnaartoe e.d.).
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 28
Up-to-Date Zorg dat cruciale en gevoelige toepassingen binnen uw organisatie altijd up-to-date
© Open for Support bv
Î
•
conclusie
Indien u deze brochure van begin tot eind heeft gelezen, zal uw technisch vocabulaire aardig zijn toegenomen. Defacing, Phishing, Pharming, Sniffing, Social Engineering, Spoofing en zelfs War Driving. Wij hopen dat deze informatiebrochure is geslaagd in haar opzet: Internet Awareness. U bewust maken van de gevaren en vooral, u bewust maken van de mogelijke stappen die ondernomen kunnen worden om deze gevaren te minimaliseren. Zowel op organisatorisch als op technisch vlak. Helder dient in ieder geval te zijn dat bewustwording bij de zwakste schakel: de mens, van het grootste belang is. U zult als organisatie die informatiebeveiliging serieus neemt, hier aandacht aan moeten besteden. Dit betekent dus ook dat een 100% veilige situatie niet mogelijk is. Wij hopen dat deze informatiebrochure zal bijdragen in een betere informatiebeveiliging binnen uw organisatie en uiteindelijk zal leiden tot het volledig uitblijven van situaties zoals omschreven. Michel van den Biggelaar
ÎÎ
Vragen? Bel ons op 043 88 000 88 of bezoek www.o4s.nl
Open for Support bv
O p e n
f o r
S u p p o r t
Informatiebrochure Internet Awareness • pagina 29
© Open for Support bv
Î
5.